CN109922021B - 安全防护系统以及安全防护方法 - Google Patents
安全防护系统以及安全防护方法 Download PDFInfo
- Publication number
- CN109922021B CN109922021B CN201711316115.1A CN201711316115A CN109922021B CN 109922021 B CN109922021 B CN 109922021B CN 201711316115 A CN201711316115 A CN 201711316115A CN 109922021 B CN109922021 B CN 109922021B
- Authority
- CN
- China
- Prior art keywords
- security
- flow
- traffic
- resource pool
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开涉及一种安全防护系统以及安全防护方法,涉及网络安全技术领域。本公开的系统包括:云安全服务平台,安全资源池;云安全服务平台用于向网络内的装置下发对应的流量导流策略,流量导流策略用于将各台虚拟机的流量导流至安全资源池,其中,装置包括:虚拟机、路由器和交换机中的至少一种,流量包括虚拟机之间交互的东西向流量;安全资源池中配置至少一种安全监测装置或审计装置,用于根据安全策略对接收到的流量进行安全检测或审计。本公开的方案同样适用于南北向流量,实现了流量可视化,重塑虚拟机之间的安全边界,可以对全网流量进行安全防护,提高网络安全性。
Description
技术领域
本公开涉及网络安全技术领域,特别涉及一种安全防护系统以及安全防护方法。
背景技术
随着云计算技术的不断发展,云平台的安全问题也变得越来越重要。
目前,一些云安全防护方案例如防火墙,DDoS(Distributed Denial of Service,分布式拒绝服务)防护方案等等,主要都用于边界的安全防护。它们主要聚焦在内外网之间边界上通过的流量,这些流量一般叫做南北向流量。这一层面的安全防护是十分必要的。
发明内容
发明人发现:云计算环境下虚拟化技术的使用,带来从竖井式系统变为横向融合的虚拟化环境后,物理边界消失,物理安全设备在处理东西向边界安全时的效用不断下降。应用网络虚拟化技术后,导致占数据中心70%以上的东西向流量无须经过网关转发,由二层转发即可完成三层路由的功能,导致传统的物理安全审计/检测设备在获取流量时出现了盲区。也就是上述用于南北向流量防护的方案,对于虚拟机之间的东西向流量无法进行监控,虚机之间缺乏威胁隔离机制,网络威胁一旦进入云平台内部,难以发现,可以肆意蔓延。
本公开所要解决的一个技术问题是:如何对虚拟机之间的东西向流量进行安全防护,提高网络安全性。
根据本公开的一些实施例,提供的一种安全防护系统,包括:云安全服务平台,安全资源池;云安全服务平台用于向网络内的装置下发对应的流量导流策略,流量导流策略用于将各台虚拟机的流量导流至安全资源池,其中,装置包括:虚拟机、路由器和交换机中的至少一种,流量包括虚拟机之间交互的东西向流量;安全资源池中配置至少一种安全监测装置或审计装置,用于根据安全策略对接收到的流量进行安全检测或审计。
在一些实施例中,该安全防护系统还包括:安全虚拟机,用于获取同一宿主机内其他虚拟机的流量,根据安全策略提取需要检测或审计的流量,并将提取的流量导流至安全资源池。
在一些实施例中,安全虚拟机用于将提取的流量发送至核心交换机,以便核心交换机将该流量发送至安全资源池。
在一些实施例中,安全虚拟机还用于对同一宿主机内其他虚拟机的流量的安全态势信息进行收集,将收集的安全态势信息发送至云安全服务平台;云安全服务平台还用于对安全态势信息进行归并和分析,并提供可视化安全态势展现。
在一些实施例中,该安全防护系统还包括:软件定义网络SDN控制器,用于接收云安全服务平台下发的流量导流策略,根据流量导流策略确定流量的安全路径,向安全路径上的装置下发对应的策略路由,以便安全路径上的装置根据对应的策略路由将虚拟机的流量导流至安全资源池。
在一些实施例中,安全虚拟机通过通用路由封装隧道接收同一宿主机内的其他虚拟机发出的流量。
在一些实施例中,该安全防护系统还包括:核心交换机,用于接收安全虚拟机发送的出境流量,将出境流量发送至安全检测资源池中的出境分发虚拟路由器,接收安全检测资源池中的入境分发虚拟路由器返回的检测后的出境流量,将检测后的出境流量发送至对应的目的地址,或者,接收入境流量,将入境流量发送至安全检测资源池中的入境分发虚拟路由器,接收安全检测资源池中的出境分发虚拟路由器返回的检测后的入境流量,将检测后的入境流量发送至对应的安全虚拟机。
根据本公开的另一些实施例,提供的一种安全防护方法,包括:云安全服务平台向网络内的装置下发对应的流量导流策略;网络内的装置根据流量导流策略将各台虚拟机的流量导流至安全资源池,装置包括:虚拟机、路由器和交换机中的至少一种,流量包括虚拟机之间交互的东西向流量;安全资源池根据安全策略对接收到的流量进行安全检测或审计,安全资源池中配置至少一种安全监测装置或审计装置。
在一些实施例中,网络内的装置根据流量导流策略将各台虚拟机的流量导流至安全资源池包括:安全虚拟机获取同一宿主机内其他虚拟机的流量,根据安全策略提取需要检测或审计的流量,并将提取的流量根据对应的流量导流策略导流至安全资源池。
在一些实施例中,网络内的装置根据流量导流策略将各台虚拟机的流量导流至安全资源池包括:安全虚拟机将提取的流量发送至核心交换机;核心交换机根据对应的流量导流策略将该流量发送至安全资源池。
在一些实施例中,该安全防护方法还包括:安全虚拟机对同一宿主机内其他虚拟机的流量的安全态势信息进行收集,将收集的安全态势信息发送至云安全服务平台;云安全服务平台对安全态势信息进行归并和分析,并提供可视化安全态势展现。
在一些实施例中,云安全服务平台向网络内的装置下发对应的流量导流策略包括:软件定义网络SDN控制器接收云安全服务平台下发的流量导流策略,根据流量导流策略确定流量的安全路径,向安全路径上的装置下发对应的策略路由,以便安全路径上的装置根据对应的策略路由将虚拟机的流量导流至安全资源池。
在一些实施例中,安全虚拟机通过通用路由封装隧道接收同一宿主机内的其他虚拟机发出的流量。
在一些实施例中,网络内的装置根据流量导流策略将各台虚拟机的流量导流至安全资源池包括:核心交换机接收安全虚拟机发送的出境流量,将出境流量发送至安全检测资源池中的出境分发虚拟路由器,接收安全检测资源池中的入境分发虚拟路由器返回的检测后的出境流量,将检测后的出境流量发送至对应的目的地址;或者,核心交换机接收入境流量,将入境流量发送至安全检测资源池中的入境分发虚拟路由器,接收安全检测资源池中的出境分发虚拟路由器返回的检测后的入境流量,将检测后的入境流量发送至对应的安全虚拟机。
本公开中设置安全资源池,由云安全服务平台向网络内的装置下发对应的流量导流策略将各台虚拟机的流量导流至安全资源池,完成虚拟机之间东西向流量的检测或审计。本公开的方案同样适用于南北向流量,实现了流量可视化,重塑虚拟机之间的安全边界,可以对全网流量进行安全防护,提高网络安全性。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开的一些实施例的安全防护系统的结构示意图。
图2示出本公开的另一些实施例的安全防护系统的结构示意图。
图3示出本公开的一些实施例的虚拟机流量导流的示意图。
图4示出本公开的一些实施例的安全防护方法的流程示意图。
图5示出本公开的另一些实施例的安全防护方法的流程示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
针对云计算环境下,虚拟机之间的东西向流量无法进行监控,导致网络安全受到威胁的问题,提出本方案。本公开中提供一种安全防护系统,下面结合图1进行描述。
图1为本公开安全防护系统的一些实施例的结构图。如图1所示,该实施例的系统10包括:云安全服务平台110,安全资源池120。
云安全服务平台110,用于向网络内的装置下发对应的流量导流策略。
流量导流策略用于将各台虚拟机的流量导流至安全资源池120。网络内装置包括:虚拟机、路由器和交换机中的至少一种,流量包括虚拟机之间交互的东西向流量,还可以包括南北向流量。云安全服务平台110可以向用户或管理员提供可视化的界面,供使用者配置响应的安全策略,并根据安全策略向相应的装置下发对应的流量导流策略。
安全资源池120中配置至少一种安全监测装置或审计装置,用于根据安全策略对接收到的流量进行安全检测或审计。
安全资源池120中可以设置于云安全服务平台110中,或核心交换机上等位置。安全资源池120可以将检测或审计结果发送至云安全服务平台110,由云安全服务平台110将检测或审计结果显示给用户,供用户查看。
安全资源池120内各装置可以采用物理旁路,逻辑串联的方式。安全资源池120内例如包括Web(网络)防护系统、抗DDoS装置、堡垒机、数据库审计、防火墙、IPS(IntrusionPrevention System,入侵防御系、SSL(Secure Sockets Layer,安全套接层)VPN(VirtualPrivate Network,虚拟专用网络)、APT(Advanced Persistent Threat,高级持续性威胁)检测装置。虚拟机的流量被引流到云安全资源池,通过安全资源池内各检测装置或审计装置的对数据量进行安全检测或审计,检测完成后在返回到出口。完成整个数据流的安全防护,实现了南北向和东西向纵深防护体系。
通过本公开的安全防护系统,实现业务边界防护,虚拟机间的边界防护,形成了纵深多维度防护体系。安全资源池可以根据业务需求实现弹性扩展,提供Web应用防护、IPS入侵防御、防火墙、防病毒、APT攻击防御、SSLVPN、数据库审计等丰富的增值服务内容,满足需求。通过云安全服务平台和安全资源池,还可以实现未知威胁发现、Web业务系统漏洞扫描和安全监测,动态感知安全威胁,提前预警和防护。
上述实施例的安全防护系统中设置安全资源池,由云安全服务平台向网络内的装置下发对应的流量导流策略将各台虚拟机的流量导流至安全资源池,完成虚拟机之间东西向流量的检测或审计。上述实施例的安全防护系统同样适用于南北向流量,实现了流量可视化,重塑虚拟机之间的安全边界,可以对全网流量进行安全防护,提高网络安全性。
下面结合图2描述本公开安全防护系统的另一些实施例。
图2为本公开安全防护系统的一些实施例的结构图。如图2所示,该实施例的系统还可以包括:安全虚拟机130。
安全虚拟机130,用于获取同一宿主机内其他虚拟机的流量,根据安全策略提取需要检测或审计的流量,并将提取的流量导流至安全资源池120。
在一些实施例中,安全虚拟机130可以通过GRE(Generic routingencapsulation,通用路由封装)隧道接收同一宿主机内的其他虚拟机发出的流量。安全虚拟机可以对同一宿主机内其他虚拟机进行流量镜像,并完成流量的初步整形,将需要检测或审计的流量导流至安全资源池120。
在一些实施例中,安全虚拟机130还用于对同一宿主机内其他虚拟机的流量的安全态势信息进行收集,将收集的安全态势信息发送至云安全服务平台110。安全态势信息例如包括:流量、连接数、协议、
IP地址等。云安全服务平台110还用于对安全态势信息进行归并和分析,并提供可视化安全态势展现。云安全服务平台110可以结合安全资源池120的分析结果进行全面的安全分析,根据已知攻击指示器(IOC)、行为分析和机器学习等技术来检测安全攻击行为,并对这些攻击做出快速的响应动作。
进一步,安全虚拟机130还可以将收集的安全态势信息发送至安全资源池120,供安全资源池120内的安全检测或审计装置进行分析。安全虚拟机130还可以对获取的流量进行初步检测,将检测结果反馈至云安全服务平台110。
在一些实施例中,安全防护系统10还可以包括:SDN(Software Defined Network,软件定义网络)控制器140,用于接收云安全服务平台110下发的流量导流策略,根据流量导流策略确定流量的安全路径,向安全路径上的装置下发对应的策略路由,以便安全路径上的装置根据对应的策略路由将虚拟机的流量导流至安全资源池120。策略路由可以通过流表的方式下发。
SDN控制器140例如包括应用层:为满足网络按需调配的能力,允许云安全服务平台中的应用(APP)通过API(Application Programming Interface,应用程序编程接口)方式调用控制器能力,调整网络路由策略;控制层:为避免分布式网络控制,加强集中网络管理能力,SDN将控制平面和转发平面分离,控制平面专注于路由策略的管理;基础设施层:基础设施层,包括支持Openflow协议的所有网元设备,如Openflow交换机或OVS(虚拟化交换机)。云安全服务平台110调用SDN控制器140,以服务链的方式确定安全路径,路径上的Openflow设备以流表方式完成转发,以完成虚拟机流量的导流。
虚拟机的流量可以通过SDN控制器140向各个装置下发策略路由引导到安全资源池120,也可以通过GRE隧道引导到安全资源池120。
在一些实施例中,安全防护系统10还可以包括:核心交换机150。安全虚拟机130用于将提取的流量发送至核心交换机150,核心交换机150将该流量发送至安全资源池120。
具体的,参考图3所示,核心交换机150,用于接收安全虚拟机130发送的出境流量,将出境流量发送至安全检测资源池120中的出境分发虚拟路由器,接收安全检测资源池120中的入境分发虚拟路由器返回的检测后的出境流量,将检测后的出境流量发送至对应的目的地址。
或者,参考图3所示,核心交换机150,用于接收入境流量,将入境流量发送至安全检测资源池120中的入境分发虚拟路由器,接收安全检测资源池120中的出境分发虚拟路由器返回的检测后的入境流量,将检测后的入境流量发送至对应的安全虚拟机130,安全虚拟机130再将检测后的入境流量发送至对应的虚拟机。
本公开中把虚拟机的流量直接透传到云安全服务平台和安全资源池,进行统一的管控和安全防护,可以支持专线企业用户和拨号企业用户的实施部署。对于运营商,整套方案对于运营商的网络是透明的,只需要在SR(Service Router,全业务路由器)或者CR(CoreRouter,核心路由器)旁挂云安全服务平台。对于用户,可以在出口路由器上启动MPLS(Multi-Protocol Label Switching,多协议标签交换)VPN(Virtual Private Network,虚拟专用网络)隧道协议,通过PBR(策略路由)将需要管控的流量路由到MPLS VPN隧道。将用户的互联网出口迁移到云安全服务平台和安全资源池,由云平台处理后再连接互联网,即由原来用户的互联网专线变为:MPLS VPN+云安全服务+互联网。
在一些实施例中,安全防护系统10还可以包括:端点探针。端点探针可以安装在所有的服务器上,包括所有的物理主机、虚拟机、云主机等。端点探针记录大量主机和网络事件,并将这些数据发送到云安全服务平台110,然后由云安全服务平台110进行全面的安全分析,根据已知攻击指示器、行为分析和机器学习等技术来检测安全攻击行为,并对这些攻击做出快速的响应动作。端点探针将对主机进行持续的安全检测,并对发生的安全事件进行自动响应加固。
云安全服务平台110基于信誉的特征检测、机器学习的特征检测、威胁攻击的异常行为检测、威胁情报的关联检测等多维度的威胁感知模型,超越传统的黑白名单和静态特征库,实现对已知和未知威胁的秒极检测,以及自动处理的智能响应方式。
端点探针,只做采集数据和响应动作,对系统资源消耗小,安装部署方便,运行轻盈稳定,并且通过云安全服务平台110界面可以随时了解端点探针的资源占用情况,实时感知端点状况。
上述实施例的安全防护系统,通过网络中各装置的配合将虚拟机的流量导流到安全资源池进行检测或审计,并且能够根据网络中流量信息进行实时分析,动态检测,并向用户提供可视化、可扩展的服务,可以满足用户各种需求的定制服务,提升用户体验。
下面结合图1和图4描述安全防护系统的工作流程。
图4为本公开安全防护方法一些实施例的流程图。如图4所示,该实施例的方法包括:步骤S402~S406。
步骤S402,云安全服务平台110向网络内的装置下发对应的流量导流策略。
步骤S404,网络内的装置根据流量导流策略将各台虚拟机的流量导流至安全资源池120。
装置包括:虚拟机、路由器和交换机中的至少一种,流量包括虚拟机之间交互的东西向流量。
步骤S406,安全资源池120根据安全策略对接收到的流量进行安全检测或审计。
安全资源池中配置至少一种安全监测装置或审计装置。
下面结合图2和图5描述安全防护系统的工作流程的另一些实施例。
图5为本公开安全防护方法另一些实施例的流程图。如图5所示,该实施例的方法包括:步骤S502~S522。
步骤S502,云安全服务平台110下发流量导流策略至SDN控制器140。
步骤S504,SDN控制器140根据流量导流策略确定流量的安全路径。
步骤S506,SDN控制器140向安全路径上的装置下发对应的策略路由。
安全路径上的装置包括安全虚拟机130。
步骤S508,安全虚拟机130获取同一宿主机内其他虚拟机的流量,根据安全策略提取需要检测或审计的流量。
安全虚拟机例如通过通用路由封装隧道接收同一宿主机内的其他虚拟机发出的流量。
步骤S509,安全虚拟机130对同一宿主机内其他虚拟机的流量的安全态势信息进行收集。
步骤S510,安全虚拟机130将提取的流量发送至核心交换机150。
步骤S511,云安全服务平台110对安全态势信息进行归并和分析,并提供可视化安全态势展现。
步骤S512,核心交换机150将提取的流量发送至安全检测资源池120中的出境分发虚拟路由器。
步骤S514,出境分发虚拟路由器将提取的流量发送至安全检测或审计装置。
步骤S516,安全检测或审计装置对提取的流量进行检测或审计。
步骤S518,安全检测或审计装置将检测或审计之后的流量发送至入境分发虚拟路由器。
步骤S520,入境分发虚拟路由器将检测或审计之后的流量发送至核心交换机150。
步骤S522,核心交换机150将检测或审计之后的流量发送至对应的目的地址。
目的地址可以是外网或虚拟机等。
上述实施例的方法中是出境流量的导流过程。对于入境流量,例如从外网进入的流量,核心交换机150接收入境流量后,将所述入境流量发送至所述安全检测资源池120中的入境分发虚拟路由器,接收所述安全检测资源池120中的出境分发虚拟路由器返回的检测后的入境流量,将检测后的入境流量发送至对应的安全虚拟机,安全虚拟机将入境流量发送至对应的虚拟机。
本领域内的技术人员应当明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本公开的较佳实施例,并不用以限制本公开,凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (8)
1.一种安全防护系统,包括:云安全服务平台,安全资源池,安全虚拟机和核心交换机;
所述云安全服务平台用于向网络内的装置下发对应的流量导流策略,所述流量导流策略用于将各台虚拟机的流量导流至安全资源池,其中,所述装置包括:虚拟机、路由器和交换机中的至少一种,所述流量包括虚拟机之间交互的东西向流量;
所述安全资源池中配置至少一种安全监测装置或审计装置,用于根据安全策略对接收到的流量进行安全检测或审计;
安全虚拟机,用于获取同一宿主机内其他虚拟机的流量,根据所述安全策略提取需要检测或审计的流量;
核心交换机,用于接收所述安全虚拟机发送的出境流量,将所述出境流量发送至所述安全资源池中的出境分发虚拟路由器,接收所述安全资源池中的入境分发虚拟路由器返回的检测后的出境流量,将检测后的出境流量发送至对应的目的地址,接收入境流量,将所述入境流量发送至所述安全资源池中的入境分发虚拟路由器,接收所述安全资源池中的出境分发虚拟路由器返回的检测后的入境流量,将检测后的入境流量发送至对应的安全虚拟机;
其中,所述安全虚拟机还用于对同一宿主机内其他虚拟机的流量的安全态势信息进行收集,将收集的安全态势信息发送至所述云安全服务平台;
所述云安全服务平台还用于对所述安全态势信息进行归并和分析,并提供可视化安全态势展现。
2.根据权利要求1所述的安全防护系统,其中,
所述安全虚拟机用于将提取的流量发送至核心交换机,以便核心交换机将该流量发送至所述安全资源池。
3.根据权利要求1所述的安全防护系统,还包括:
软件定义网络SDN控制器,用于接收所述云安全服务平台下发的流量导流策略,根据所述流量导流策略确定流量的安全路径,向所述安全路径上的装置下发对应的策略路由,以便所述安全路径上的装置根据对应的策略路由将虚拟机的流量导流至安全资源池。
4.根据权利要求1所述的安全防护系统,其中,
所述安全虚拟机通过通用路由封装隧道接收同一宿主机内的其他虚拟机发出的流量。
5.一种安全防护方法,包括:
云安全服务平台向网络内的装置下发对应的流量导流策略;
所述网络内的装置根据所述流量导流策略将各台虚拟机的流量导流至安全资源池,所述装置包括:虚拟机、路由器和交换机中的至少一种,所述流量包括虚拟机之间交互的东西向流量;
所述安全资源池根据安全策略对接收到的流量进行安全检测或审计,所述安全资源池中配置至少一种安全监测装置或审计装置;
其中,所述网络内的装置根据所述流量导流策略将各台虚拟机的流量导流至安全资源池包括:
安全虚拟机获取同一宿主机内其他虚拟机的流量,根据所述安全策略提取需要检测或审计的流量;
核心交换机接收所述安全虚拟机发送的出境流量,将所述出境流量发送至所述安全资源池中的出境分发虚拟路由器,接收所述安全资源池中的入境分发虚拟路由器返回的检测后的出境流量,将检测后的出境流量发送至对应的目的地址;所述核心交换机接收入境流量,将所述入境流量发送至所述安全资源池中的入境分发虚拟路由器,接收所述安全资源池中的出境分发虚拟路由器返回的检测后的入境流量,将检测后的入境流量发送至对应的安全虚拟机;
所述安全虚拟机对同一宿主机内其他虚拟机的流量的安全态势信息进行收集,将收集的安全态势信息发送至所述云安全服务平台;
所述云安全服务平台对所述安全态势信息进行归并和分析,并提供可视化安全态势展现。
6.根据权利要求5所述的安全防护方法,其中,所述网络内的装置根据所述流量导流策略将各台虚拟机的流量导流至安全资源池包括:
所述安全虚拟机将提取的流量发送至核心交换机;
所述核心交换机根据对应的流量导流策略将该流量发送至所述安全资源池。
7.根据权利要求5所述的安全防护方法,其中,所述云安全服务平台向网络内的装置下发对应的流量导流策略包括:
软件定义网络SDN控制器接收所述云安全服务平台下发的流量导流策略,根据所述流量导流策略确定流量的安全路径,向所述安全路径上的装置下发对应的策略路由,以便所述安全路径上的装置根据对应的策略路由将虚拟机的流量导流至安全资源池。
8.根据权利要求5所述的安全防护方法,其中,
所述安全虚拟机通过通用路由封装隧道接收同一宿主机内的其他虚拟机发出的流量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711316115.1A CN109922021B (zh) | 2017-12-12 | 2017-12-12 | 安全防护系统以及安全防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711316115.1A CN109922021B (zh) | 2017-12-12 | 2017-12-12 | 安全防护系统以及安全防护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109922021A CN109922021A (zh) | 2019-06-21 |
| CN109922021B true CN109922021B (zh) | 2022-03-08 |
Family
ID=66956629
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711316115.1A Active CN109922021B (zh) | 2017-12-12 | 2017-12-12 | 安全防护系统以及安全防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109922021B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112217770B (zh) * | 2019-07-11 | 2023-10-13 | 奇安信科技集团股份有限公司 | 一种安全检测方法、装置、计算机设备及存储介质 |
| CN111031091B (zh) * | 2019-10-30 | 2022-10-21 | 安天科技集团股份有限公司 | 云平台虚拟导流技术的自动化适配方法及装置 |
| CN111026525B (zh) * | 2019-10-30 | 2024-02-13 | 安天科技集团股份有限公司 | 云平台虚拟导流技术的调度方法及装置 |
| CN111224956A (zh) * | 2019-12-26 | 2020-06-02 | 北京安码科技有限公司 | 云计算环境中的横向渗透检测方法、装置、设备及存储介质 |
| CN113810348B (zh) * | 2020-06-17 | 2023-04-07 | 华为技术有限公司 | 网络安全检测方法、系统、设备及控制器 |
| CN111970242B (zh) * | 2020-07-15 | 2022-09-30 | 深信服科技股份有限公司 | 云安全防护方法、装置及存储介质 |
| CN112039854A (zh) * | 2020-08-13 | 2020-12-04 | 深圳市信锐网科技术有限公司 | 一种数据传输方法、装置和存储介质 |
| CN112291232B (zh) * | 2020-10-27 | 2021-06-04 | 中国联合网络通信有限公司深圳市分公司 | 一种基于租户的安全能力和安全服务链管理平台 |
| CN112738217B (zh) * | 2020-12-28 | 2022-05-27 | 中国建设银行股份有限公司 | 安全交互系统及方法 |
| CN112839052B (zh) * | 2021-01-25 | 2023-02-03 | 北京六方云信息技术有限公司 | 虚拟网络的安全防护系统、方法、服务器及可读存储介质 |
| CN113704059B (zh) * | 2021-08-17 | 2024-05-28 | 深信服科技股份有限公司 | 业务资产的防护方法、装置、电子设备和存储介质 |
| CN113824615A (zh) * | 2021-09-26 | 2021-12-21 | 济南浪潮数据技术有限公司 | 一种基于OpenFlow的虚拟网络流量可视化方法、装置及设备 |
| WO2023050070A1 (zh) * | 2021-09-28 | 2023-04-06 | 中远海运科技股份有限公司 | 一种面向云主机全流量网络访问防护的方法及装置 |
| CN114244576A (zh) * | 2021-11-24 | 2022-03-25 | 中盈优创资讯科技有限公司 | 一种云环境下的流量防护方法及装置 |
| CN114615013B (zh) * | 2022-01-29 | 2022-12-02 | 北京永信至诚科技股份有限公司 | 一种网络靶场的综合审计方法及系统 |
| CN115296921A (zh) * | 2022-08-19 | 2022-11-04 | 南方电网数字电网研究院有限公司 | 一种云安全资源池、物联网安全防护系统 |
| CN115484208A (zh) * | 2022-09-16 | 2022-12-16 | 杭州安恒信息技术股份有限公司 | 一种基于云安全资源池的分布式引流系统和方法 |
| CN116455680B (zh) * | 2023-06-19 | 2023-10-13 | 卓望数码技术(深圳)有限公司 | 云平台的tcp全流量采集和聚合方法、系统及计算机设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104023035A (zh) * | 2014-06-26 | 2014-09-03 | 浪潮电子信息产业股份有限公司 | 一种同一安全域内虚机之间流量的防护方法 |
| CN105100026A (zh) * | 2014-05-22 | 2015-11-25 | 杭州华三通信技术有限公司 | 一种报文安全转发方法及装置 |
| CN106100999A (zh) * | 2016-08-28 | 2016-11-09 | 北京瑞和云图科技有限公司 | 一种虚拟化网络环境中镜像网络流量控制协议 |
| CN106685900A (zh) * | 2015-11-10 | 2017-05-17 | 中国电信股份有限公司 | 漏洞防护方法和装置 |
| CN106790091A (zh) * | 2016-12-23 | 2017-05-31 | 深圳市深信服电子科技有限公司 | 一种云安全防护系统以及流量清洗方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014063110A1 (en) * | 2012-10-19 | 2014-04-24 | ZanttZ, Inc. | Network infrastructure obfuscation |
| US20140229945A1 (en) * | 2013-02-12 | 2014-08-14 | Contextream Ltd. | Network control using software defined flow mapping and virtualized network functions |
| CN104954367B (zh) * | 2015-06-04 | 2019-02-12 | 饶小毛 | 一种互联网全向跨域DDoS攻击防护方法 |
| CN105337902A (zh) * | 2015-11-17 | 2016-02-17 | 福建星网锐捷网络有限公司 | 网络出口装置、网络出口系统以及网络出口报文处理方法 |
| CN106685823B (zh) * | 2016-12-16 | 2019-11-12 | 杭州迪普科技股份有限公司 | 一种流量清洗方法及装置 |
-
2017
- 2017-12-12 CN CN201711316115.1A patent/CN109922021B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105100026A (zh) * | 2014-05-22 | 2015-11-25 | 杭州华三通信技术有限公司 | 一种报文安全转发方法及装置 |
| CN104023035A (zh) * | 2014-06-26 | 2014-09-03 | 浪潮电子信息产业股份有限公司 | 一种同一安全域内虚机之间流量的防护方法 |
| CN106685900A (zh) * | 2015-11-10 | 2017-05-17 | 中国电信股份有限公司 | 漏洞防护方法和装置 |
| CN106100999A (zh) * | 2016-08-28 | 2016-11-09 | 北京瑞和云图科技有限公司 | 一种虚拟化网络环境中镜像网络流量控制协议 |
| CN106790091A (zh) * | 2016-12-23 | 2017-05-31 | 深圳市深信服电子科技有限公司 | 一种云安全防护系统以及流量清洗方法 |
Non-Patent Citations (6)
| Title |
|---|
| 东西向流量牵引方案小结;佚名;《http://blog.nsfocus.net/east-west-flow-sum/》;20171201;全文 * |
| 云来了 安全盒子怎么办;何恐;《blog.nsfocus.net/cloud-safe-box/》;20170522;全文 * |
| 云计算安全解决方案白皮书(四);佚名;《https://blog.51cto.com/zhaisj/1656238》;20150529;正文第1-4页 * |
| 云资源池安全防护浅析;王行洲;《山东通信技术》;20170930;全文 * |
| 佚名.云计算安全解决方案白皮书(四).《https://blog.51cto.com/zhaisj/1656238》.2015,正文第1-4页. * |
| 面向公安大数据中心的软件定义安全系统;张凯;《中国安全防范认证》;20170630;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109922021A (zh) | 2019-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109922021B (zh) | 安全防护系统以及安全防护方法 | |
| US11770408B2 (en) | Method and system of mitigating network attacks | |
| US11496377B2 (en) | Anomaly detection through header field entropy | |
| US10382451B2 (en) | Integrated security system having rule optimization | |
| US9906557B2 (en) | Dynamically generating a packet inspection policy for a policy enforcement point in a centralized management environment | |
| Shin et al. | Enhancing network security through software defined networking (SDN) | |
| Chen et al. | Collaborative network security in multi-tenant data center for cloud computing | |
| US10091167B2 (en) | Network traffic analysis to enhance rule-based network security | |
| CN103607399B (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
| US10205641B2 (en) | Inspection of traffic via SDN | |
| CN106572120A (zh) | 一种基于混合云的访问控制方法及系统 | |
| CN107077433B (zh) | 优化装置、优化方法 | |
| CN108156079B (zh) | 一种基于云服务平台的数据包转发系统及方法 | |
| KR101615045B1 (ko) | 지능형 보안 네트워킹 시스템 및 그 방법 | |
| US20190319923A1 (en) | Network data control method, system and security protection device | |
| CN107634971B (zh) | 一种检测洪水攻击的方法及装置 | |
| US10445746B2 (en) | Method for checking compliance of payment application in virtualized environment | |
| EP3166279B1 (en) | Integrated security system having rule optimization | |
| US10296744B1 (en) | Escalated inspection of traffic via SDN | |
| EP3166281B1 (en) | Integrated security system having threat visualization | |
| EP3166280B1 (en) | Integrated security system having threat visualization and automated security device control | |
| Saeed et al. | SDN/NFV Enabled Security for an Enterprise Network using Commodity Hardware | |
| CN115622808B (zh) | 安全隔离的方法、电子设备、计算机可读介质 | |
| CN115499155A (zh) | 云桌面的数据流量防护方法、装置、设备及可读存储介质 | |
| Primini et al. | An Architecture for Flow-Based Traffic Analysis in a Cloud Environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |